Lek29: UU lekt privédata tienduizenden studenten

wachtwoord

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (6)
31x Aanbevolen

Gepubliceerd: Maandag 31 oktober 2011
Auteur: Jasper Bakker

Het Lektober-slot is een meervoudig lek: websites van de universiteit Utrecht geven via SQL-injecties persoonsgegevens prijs van medewerkers en studenten. Ook hun wachtwoorden.

De universiteit Utrecht (UU) is over een deel van deze lekken vorige week al ingelicht door eigen scholieren. Dit bevestigt security officer René Ritzen van de UU. Hij bedankt Webwereld voor het melden van de overige lekken en geeft aan dat de betreffende scholieren er ook al voor zijn bedankt.

Snel afdichten

"Op basis van hun melding zijn we onmiddellijk een onderzoek gestart en hebben we inmiddels al een aantal reparatiewerkzaamheden uitgevoerd." Controle door Webwereld wijst uit dat de aangemelde url's nu geen informatie meer lekken. Volgens de tipgevers van Webwereld waren de persoonsgegevens van tienduizenden studenten en ook universiteitsmedewerkers buit te maken.

Dat omvat niet alleen semi-openbare informatie als hun naam, studie en vooropleiding. Ook hun woonadressen, persoonlijke mailadressen, UU-gebruikersnamen en hun wachtwoorden voor de UU-inlog waren toegankelijk. De universiteit geeft gebruikers zelf diverse beveiligingstips waaronder het voor jezelf houden van wachtwoorden.

Niet versleuteld

De lekkende privé-informatie is volgens de ontdekkers niet versleuteld opgeslagen. De gegevens stonden in een database die via SQL-injectie van buiten af toegankelijk is. De UU-website was - samen met enkele subsites daarvan - kwetsbaar voor deze vorm van hacken. Het CERT (computer emergency response team) van de universiteit neemt nu de eigen systemen door op deze kwetsbaarheden.

Naast persoonsgegevens levert de SQL-injectie ook informatie op over het ict-beheer van de universiteit. Zo zijn er tabellen zichtbaar over backups, ook van medewerkers, naast tabellen over de groepen, rollen en gebruikers van zogeheten access control lists (ACL's) voor de websitefora.

Impact onderzoeken

Beveiligingsdirecteur Ritzen geeft aan dat de impact van de lekken nog wordt onderzocht. "Ook met deze nieuwe melding ligt onze prioriteit bij het onderzoek naar de impact en zijn onze acties er op gericht om eventuele fouten zo spoedig mogelijk op te lossen." Op vervolgvragen van Webwereld moet hij nog terugkomen. Ritzen heeft al aangegeven een update te willen geven.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)